Dirección de la oficina
Sevilla, España
Sevilla, España
Número de teléfono
+(34) 624 816 969
Dirección de correo electrónico
Disponible en Google Play
Sevilla, España
Sevilla, España
+(34) 624 816 969
by ForgeNEX El software de código abierto es el esqueleto digital de la economía moderna: más del 90% de las empresas del Fortune 500 lo incorporan en sus cadenas de suministro de software. Sin embargo, su naturaleza abierta y descentralizada lo convierte también en un caldo de cultivo para vulnerabilidades. Identificar, priorizar y parchear esos fallos es una batalla interminable para los equipos de seguridad, que a menudo se ven desbordados por el volumen de alertas y la falta de correcciones oficiales.
Tabla de contenidos [Mostrar]
IBM y Red Hat han anunciado Project Lightwell, una iniciativa que movilizará 5.000 millones de dólares y 20.000 ingenieros para construir un “centro de compensación empresarial” de seguridad para código abierto. El objetivo es acelerar el descubrimiento y la remediación de vulnerabilidades, actuando como una capa de coordinación de seguridad impulsada por inteligencia artificial. Este centro permitirá a las empresas integrar parches validados directamente en sus cadenas de suministro de software existentes, sin necesidad de interrumpir la estabilidad ni el cumplimiento normativo.
El proyecto se encuentra aún en fase de diseño con un grupo de 11 socios del sector financiero —entre ellos Bank of America, BNY, Citi, Goldman Sachs, JPMorgan Chase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa y Wells Fargo— y se ofrecerá finalmente como un servicio de suscripción comercial.
Como señaló Ashesh Badani, vicepresidente senior y jefe de Producto de Red Hat, “los avances en las herramientas de IA han roto el mapa del parcheo”. En 2025 se publicaron casi 50.000 vulnerabilidades y exposiciones comunes (CVE), y el Project Glasswing de Anthropic encontró cerca de 3.900 vulnerabilidades críticas previamente no descubiertas en software de código abierto. El problema no es solo encontrar fallos, sino corregirlos a tiempo.
IBM, uno de los ecosistemas comerciales de código abierto más amplios, utiliza más de 62.000 paquetes y opera en plataformas como Linux, Kubernetes, Kafka, Terraform y Java. Project Lightwell aplicará los mismos principios de ingeniería que ya usa internamente —gestión del ciclo de vida, validación y parcheo— a marcos de IA, bibliotecas independientes, toolchains de lenguaje y plataformas de streaming de datos.
Una de las características más innovadoras de Project Lightwell es que no requiere actualizaciones ni acceso al código fuente. Aplica retroportabilidad (backporting) de correcciones a versiones exactas de dependencias ya probadas e implementadas, operando sobre manifiestos de configuración como pom.xml. El código permanece dentro de entornos empresariales controlados cuando se despliegan los artefactos parcheados. El enfoque inicial será Java/Maven, pero se expandirá a PyPI, npm, Go y otros ecosistemas.
Las empresas podrán compartir vulnerabilidades sensibles bajo embargo a través de un “modelo de intermediario seguro” y recibir parches validados que abarcan tanto plataformas de Red Hat como código independiente de la comunidad. También podrán desplegar correcciones a lo largo de cadenas de dependencias, reportar y abordar problemas en producción activa, y compartir correcciones aguas arriba para que la comunidad de código abierto las incorpore.
Badani subrayó la importancia de devolver las correcciones a la comunidad: “Si parcheamos un fragmento de código en Python, la corrección debería volver rápidamente a la comunidad Python”. Con Project Lightwell, ese proceso se logra mediante un “mapa seguro” que conecta los entornos upstream y downstream.
Lejos de reemplazar ingenieros, Project Lightwell apuesta por una combinación de inteligencia artificial y experiencia humana. Los 20.000 ingenieros de IBM y Red Hat trabajarán con modelos fundacionales de laboratorios líderes y herramientas propias de IA para desarrollar parches, realizar revisiones y clasificar vulnerabilidades de alto volumen. Los 5.000 millones de dólares se destinarán a dotar a los equipos de herramientas de IA y construir la infraestructura operativa interna.
David Shipley, de Beauceron Security, calificó la iniciativa como “desesperadamente necesaria”. Según él, la era en la que billones de dólares en valor dependían de voluntarios terminó abruptamente con Mythos. “Las empresas tendrán que pagar o lo perderán”, advirtió. “Si no encontramos una forma de invertir en el código abierto, la alternativa es que cada uno construya su propio código a medida usando IA, lo que sería enormemente ineficiente”.
Project Lightwell no es solo una solución técnica; es un modelo de negocio que busca cerrar la brecha de equidad en el código abierto. Al ofrecer un servicio de suscripción, IBM y Red Hat crean un incentivo económico para mantener la seguridad del ecosistema. Badani reconoció que “esto no va a detenerse pronto. Incluso si conseguimos resolver el conjunto inicial de desafíos, esto será algo que las empresas van a necesitar de forma continua”.
La iniciativa ya ha generado una “avalancha de solicitudes entrantes”, lo que demuestra la urgencia del problema. Para las empresas, la pregunta ya no es si deben adoptar código abierto, sino cómo gestionar su seguridad de manera sostenible. Project Lightwell ofrece una respuesta: un centro de compensación que combina la velocidad de la IA con el criterio humano, manteniendo el control en manos de las organizaciones.
En un contexto donde la identidad se ha convertido en el nuevo perímetro de seguridad, como analizamos en nuestro artículo La identidad como nuevo perímetro, y donde la gobernanza de agentes IA emerge como una prioridad empresarial —tal como vimos en Snowflake compra Natoma—, Project Lightwell se presenta como una pieza clave para asegurar la cadena de suministro de software.
Para profundizar en cómo las vulnerabilidades de código abierto pueden afectar a proyectos concretos, recomendamos la lectura de Gavriel Cohen encontró su propio código dentro de OpenClaw, un caso que ilustra la complejidad de la trazabilidad en el ecosistema open source.
Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.